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Einführung einer Schengen Masterlist zum Abgleich von Zertifikaten in 
elektronischen Ausweisdokumenten 


Vorbemerkung der Fragesteller 

Nicht alle in EU-Mitgliedstaaten verwendeten automatisierten Grenzkontroll- 
systeme prüfen, ob die im Reisepass gespeicherten Zertifikate, mit denen die 
Daten signiert sind, korrekt sind (heise online, www.heise.de vom 4. Juni 2015). 
Pässe könnten auf diese Weise gefälscht werden. Dies betrifft unter anderem 
Angehörige von insgesamt 17 Staaten außerhalb der EU, die im EU-Programm 
„Intelligente Grenzen“ bei der Einreise in den Schengenraum automatische 
Grenzkontrollsysteme nutzen sollen. Eine „Schengen Master Control List“ soll 
nun dafür sorgen, dass die Zertifikate aller Country Signing Certification Au- 
thorities (CSCA) von den Grenzkontrollsystemen abgerufen werden können. 
Diese seien laut der Europäischen Kommission „nicht vollständig an den Grenz- 
kontrollstellen verfügbar“. Vorgeschlagen wird die Einrichtung einer Sammel- 
stelle für Zertifikate, die in einem Forschungszentrum im italienischen Ispra 
gehostet werden soll. 


1. Welche Verfahren sind der Bundesregierung bekannt, elektronische Aus- 
weisdokumente unter Manipulation der enthaltenen RFID-Chips (RFID: ra- 
dio-frequency Identification) zu fälschen? 

Als mögliche Manipulationsverfahren kommen aus Sicht der Bundesregierung in 
Betracht: 

• Klonen von RFID-Chips; 

• Verfälschen von Inhalten (Daten) auf RFID-Chips; 

• Simulieren von RFID-Chips. 


Die Aritwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 
19. November 2015 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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2. Inwiefern und in welchem Umfang ist es nach Kenntnis der Bundesregierung 
denkbar oder möglich, automatische Grenzkontrollschleusen damit zu über- 
winden, dass der originale RFID-Chip eines elektronischen Passes deakti- 
viert und durch einen aufgeklebten Chip ersetzt wird? 

Um sowohl die Authentizität und Integrität der Chipdaten als auch die Chipecht- 
heit eines ePasses zu verifizieren, umfasst die elektronische Dokumentenprüfung 
in deutschen Grenzkontrollschleusen zwingend die Überprüfung der auf interna- 
tionaler Ebene standardisierten elektronischen Sicherheitsmechanismen „Passive 
Authentication“ sowie „Chip Authentication“ oder „Active Authentication". 
Überwindungsversuche mit manipulierten bzw. gefälschten RFID-Chips können 
somit zuverlässig erkannt werden. 


3. Welche Sicherheitsrisiken sieht die Bundesregierung im Rahmen der Pilo- 
tiemng und Einführung der Systeme „EasyPASS“ und „Intelligente Gren- 
zen“? 

Sicherheitsrisiken bezüglich der Überwindung mittels gefälschter ePässe werden 
weder bei der Pilotierung „Intelligenter Grenzen“ noch beim Wirkbetrieb von 
„EasyPASS“ gesehen, da beide Systeme über die Möglichkeit der Zertifikatsprü- 
fungen verfügen. 


4. Auf welche Weise werden im Rahmen der Systeme „EasyPASS“ und „In- 
telligente Grenzen“ (Pilotprojekt und anvisierte endgültige Lösung) Zertifi- 
kate der ausgelesenen Chips abgefragt bzw. geprüft, ob die Zertifikate, mit 
denen die Daten signiert sind, korrekt sind? 

Um die Authentizität und Integrität der Chipdaten zu bestätigen, wird sowohl bei 
„EasyPASS“ als auch im Kontext „Intelligente Grenzen“ stets die vollständige 
kryptografische Prüfung der Chipinhalte mittels „Passive Authentication“ auf Ba- 
sis der deutschen Masterliste durchgeführt. Die deutsche Masterliste (Liste ver- 
trauenswürdiger CSCA (Country Signing Certification Authorities) Root-Zertifi- 
kate) wird durch das zuständige Bundesamt für Sicherheit in der Informations- 
technik (BSI) kontinuierlich gepflegt und der Bundespolizei zur Verfügung ge- 
stellt. 


5. In welchen Pilotprojekten ist das gemeinsame Sammeln von Zertifikaten 
nach Kenntnis der Bundesregierung bereits erprobt worden, bzw. welche 
derartigen Projekte sind geplant? 

Bis auf das Schengen Masterlist Projekt auf EU-Ebene sind nach Kenntnis der 
Bundesregierung keine weiteren Projekte geplant. 


6. Von wem wurden diese Pilotprojekte nach Kenntnis der Bundesregierung 
durchgeführt und wer nahm daran teil? 

Das aktuelle Schengen Masterlist Projekt wird von der Europäischen Kommis- 
sion durchgeführt. Im Übrigen wird auf die Antwort zu Frage 5 verwiesen. 


7. Inwiefern sind die Zertifikate, die für eine automatisierte Überprüfung von 
elektronischen Ausweisdokumenten an Grenzen im Zuständigkeitsbereich 
der Bundespolizei liegen, vollständig verfügbar? 

Die Bundespolizei nutzt ausschließlich die Zertifikate, die über die deutsche Mas- 
terliste bereitgestellt werden. 
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8. Inwiefern trifft es, wie von „Heise“ berichtet, zu, dass die Bundesregierung 
den „Versuch" gemacht habe, eine eigene Zertifikatsliste zu erstellen? 

Es wurde kein „Versuch“ unternommen. Die deutsche Masterliste existiert seit 
über 5 Jahren und wird kontinuierlich gepflegt. 

9. Aus welchen Gründen ist dieser Versuch „unvollständig“ geblieben? 

Es wird auf die Antwort zu Frage 8 verwiesen. 


10. Wo ist diese Liste angesiedelt, welche Zertifikate sind dort gespeichert, und 
wie wurden diese besorgt? 

Es wird auf die Antwort zu Frage 4 verwiesen. Die jeweils aktuelle Version der 
deutschen Masterliste ist sowohl über das ICAO (International Civil Aviation Or- 
ganization) Public Key Directory als auch über die Webpräsenz des BSI unter 
www.bsi.de/csca öffentlich verfügbar. Die CSCA - Zertifikate der dort genannten 
Staaten werden der Bundesrepublik Deutschland durch den jeweiligen Staat zur 
Verfügung gestellt. 


1 1 . Welche weiteren EU-Mitgliedstaaten verfügen nach Kenntnis der Bundesre- 
gierung über eine zentrale Sammelstelle für Zertifikate? 

Über Sammelstellen für Zertifikate und nationale Masterlisten verfügen nach 
Kenntnis der Bundesregierung Spanien, Frankreich und Ungarn. 


12. Inwiefern und zu welchem Zweck sind Bundesbehörden mit diesen Ländern 
hinsichtlich der Sammelstellen für Zertifikate in Kontakt? 

Zum Zweck des gegenseitigen Zertifikatsaustauschs steht das zuständige BSI mit 
den entsprechenden ausländischen Stellen in Kontakt. 


13. Was ist der Bundesregierung über die Einrichtung einer „Schengen Master 
Control List“ als zentrale Datenbank bekannt ? 

Bei der Schengen Masterliste handelt es sich nach Kenntnis der Bundesregierung 
nicht um eine „zentrale Datenbank“. 


14. Welche Zertifikate sollen in der „Schengen Master Control List“ gespeichert 
werden, und wie würden diese besorgt werden? 

Nach Kenntnis der Bundesregierung sind hierzu noch keine Festlegungen getrof- 
fen worden. 


15. Mit welchen nationalen oder internationalen Zertifikatsstellen hat die Euro- 
päische Kommission nach Kenntnis der Bundesregierung hierzu bereits 
kommuniziert? 

Die Europäische Kommission steht hierzu mit dem zuständigen BSI in Kontakt. 
Weitere Erkenntnisse liegen der Bundesregierung nicht vor. 
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16. Auf welche Weise und mit welchen Arbeiten sind nach Kenntnis der Bun- 
desregierung auch die EU-Agenturen eu-LISA, FRONTEX und Europol in 
die Einrichtung der „Schengen Master Control List“ eingebunden? 

Nach Kenntnis der Bundesregierung sind sowohl eu-LISA als auch FRONTEX 
in das Schengen Masterlist Projekt eingebunden. Weitere Erkenntnisse liegen der 
Bundesregierung nicht vor. 


17. Inwiefern unterhalten oder unterhielten Europol und FRONTEX nach 
Kenntnis der Bundesregierung selbst Arbeitsgruppen zum Thema, wer nahm 
daran teil, und welche Zielsetzung wurde oder wird darin verfolgt? 

Der Bundesregierung liegen hierzu keine Erkenntnisse vor. 


18. Welche Forschungsprojekte wurden nach Kenntnis der Bundesregierung auf 
EU-Ebene zur Einführung einer zentralen Sammelstelle für Zertifikate 
durchgeführt? 

Der Bundesregierung sind keine derartigen Forschungsprojekte bekannt. 


19. Wo soll die „Schengen Master Control List“ nach Kenntnis der Bundesre- 
gierung gehostet werden, und auf welche Weise hat sich diese Stelle dafür 
qualifiziert? 

Der Bundesregierung liegen hierzu keine Informationen vor. 
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